översikt över felsökning av Anslut ion

  • Artikel

Med ökningen av avancerade och högpresterande arbetsbelastningar i Azure finns det ett kritiskt behov av ökad synlighet och kontroll över drifttillståndet för komplexa nätverk som kör dessa arbetsbelastningar. Sådana komplexa nätverk implementeras med hjälp av nätverkssäkerhetsgrupper, brandväggar, användardefinierade vägar och resurser som tillhandahålls av Azure. Komplexa konfigurationer gör det svårt att felsöka anslutningsproblem.

Funktionen för anslutningsfelsökning i Azure Network Watcher hjälper till att minska tiden för att diagnostisera och felsöka problem med nätverksanslutningar. De resultat som returneras kan ge värdefulla insikter i om ett anslutningsproblem beror på en plattform eller en potentiell användarkonfiguration.

Anslut ionsfelsökning minskar MTTR (Mean Time To Resolution) genom att tillhandahålla en omfattande metod för att utföra alla större anslutningskontroller för att identifiera problem som rör nätverkssäkerhetsgrupper, användardefinierade vägar och blockerade portar. Det ger följande resultat med användbara insikter där en steg-för-steg-guide eller motsvarande dokumentation tillhandahålls för snabbare lösning:

  • Anslut ivity test med olika måltyper (VM, URI, FQDN eller IP-adress)
  • Konfigurationsproblem som påverkar nåbarheten
  • Alla möjliga hopp efter hoppsökvägar från källan till målet
  • Hopp efter hoppfördröjning
  • Svarstid (minimum, maximum och genomsnitt mellan källa och mål)
  • Grafisk topologivy från källa till mål
  • Antalet avsökningar misslyckades under felsökningskontrollen av anslutningen

Käll- och måltyper som stöds

Anslut ionsfelsökning ger möjlighet att kontrollera TCP- eller ICMP-anslutningar från någon av dessa Azure-resurser:

  • Virtuella datorer
  • Skalningsuppsättningar för virtuella datorer
  • Azure Bastion-instanser
  • Programgatewayer (utom v1)

Viktigt!

Anslut ionsfelsökningen kräver att den virtuella dator som du felsöker från har Network Watcher-agentens VM-tillägg installerat. Tillägget krävs inte på den virtuella måldatorn.

Anslut ionsfelsökning kan testa anslutningar till något av följande mål:

  • Virtuella datorer
  • Fullständigt kvalificerade domännamn (FQDN)
  • URI:er (Uniform Resource Identifiers)
  • IP-adresser

Problem som identifierats av anslutningsfelsökning

Anslut ionsfelsökning kan identifiera följande typer av problem som kan påverka anslutningen:

  • Hög CPU-användning för virtuella datorer
  • Hög minnesanvändning för virtuella datorer
  • Brandväggsregler för virtuella datorer (gäst) som blockerar trafik
  • DNS-matchningsfel
  • Felkonfigurerade eller saknade vägar
  • NSG-regler (Network Security Group) som blockerar trafik
  • Det går inte att öppna en socket på den angivna källporten
  • Protokollposter för adressmatchning saknas för Azure ExpressRoute-kretsar
  • Servrar som inte lyssnar på angivna målportar

Response

I följande tabell visas de egenskaper som returneras efter att anslutningsfelsökts.

Property beskrivning
Anslut ionStatus Status för anslutningskontrollen. Möjliga resultat kan nås och kan inte nås.
AvgLatencyInMs Genomsnittlig svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås).
MinLatencyInMs Minsta svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås).
MaxLatencyInMs Maximal svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås).
ProbesSent Antal avsökningar som skickats under kontrollen. Maximalt värde är 100.
ProbesFailed Antal avsökningar som misslyckades under kontrollen. Maximalt värde är 100.
Hopp Hoppa efter hoppsökväg från källa till mål.
Hopp[]. Typ Typ av resurs. Möjliga värden är: Källa, VirtualAppliance, VnetLocal och Internet.
Hopp[]. Id Unikt id för hopp.
Hopp[]. Adress IP-adressen för hoppet.
Hopp[]. ResourceId Resurs-ID för hopp om hoppet är en Azure-resurs. Om det är en Internetresurs är ResourceID Internet.
Hopp[]. NextHopIds Den unika identifieraren för nästa hopp som tas.
Hopp[]. Frågor En samling problem som påträffades under kontrollen av hoppet. Om det inte finns några problem är värdet tomt.
Hopp[]. Problem[]. Ursprung Vid det aktuella hoppet, där problemet uppstod. Möjliga värden är:
Inkommande – Problemet finns på länken från föregående hopp till det aktuella hoppet.
Utgående – Problemet finns på länken från det aktuella hoppet till nästa hopp.
Lokal – Problemet gäller det aktuella hoppet.
Hopp[]. Problem[]. Svårighetsgrad Allvarlighetsgraden för det identifierade problemet. Möjliga värden är: Fel och varning.
Hopp[]. Problem[]. Typ Typen av det identifierade problemet. Möjliga värden är:
CPU
Minne
Gästbrandvägg
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hopp[]. Problem[]. Sammanhang Information om det identifierade problemet.
Hopp[]. Problem[]. Kontext[].key Nyckel för nyckelvärdeparet som returneras.
Hopp[]. Problem[]. Context[].value Värdet för nyckelvärdeparet som returnerades.
NextHopAnalysis.NextHopType Typ av nästa hopp. Möjliga värden är:
HyperNetGateway
Internet
None
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress IP-adressen för nästa hopp.
Resursidentifieraren för routningstabellen som är associerad med den väg som returneras. Om den returnerade vägen inte motsvarar några användarskapade vägar blir det här fältet strängen System Route.
SourceSecurityRuleAnalysis.Results[]. Profil Diagnostikprofil för nätverkskonfiguration.
SourceSecurityRuleAnalysis.Results[]. Profile.Source Trafikkälla. Möjliga värden är: *, IP-adress/CIDR och tjänsttagg.
SourceSecurityRuleAnalysis.Results[]. Profile.Destination Trafikmål. Möjliga värden är: *, IP-adress/CIDR och tjänsttagg.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Trafikmålport. Möjliga värden är: * och en enda port i intervallet (0–65535).
SourceSecurityRuleAnalysis.Results[]. Profile.Protocol Protokoll som ska verifieras. Möjliga värden är: *, TCP och UDP.
SourceSecurityRuleAnalysis.Results[]. Profile.Direction Trafikens riktning. Möjliga värden är: Utgående och Inkommande.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Resultat av nätverkssäkerhetsgrupp.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Lista över diagnostik för nätverkssäkerhetsgrupper för resultat.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult Nätverkstrafiken tillåts eller nekas. Möjliga värden är: Tillåt och Neka.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo Resurs-ID för nätverkskortet eller undernätet som nätverkssäkerhetsgruppen tillämpas på.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule Matchad nätverkssäkerhetsregel.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action Nätverkstrafiken tillåts eller nekas. Möjliga värden är: Tillåt och Neka.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName Namnet på den matchade nätverkssäkerhetsregeln.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId Nätverkssäkerhetsgrupp-ID.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Lista över utvärderingsresultat för nätverkssäkerhetsregler.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched Värdet anger om målet matchas. Booleska värden.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Värdet anger om målporten matchas. Booleska värden.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Namn Namnet på nätverkssäkerhetsregeln.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched Värdet anger om protokollet matchas. Booleska värden.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Värdet anger om källan matchas. Booleska värden.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Värdet anger om källporten matchas. Booleska värden.
DestinationSecurityRuleAnalysis Samma som SourceSecurityRuleAnalysis-format.
SourcePortStatus Avgör om porten vid källan kan nås eller inte. Möjliga värden är:
Okänd
Nås
Instabila
Nej Anslut ion
Tidsgräns
DestinationPortStatus Avgör om porten på målet kan nås eller inte. Möjliga värden är:
Okänd
Nås
Instabila
Nej Anslut ion
Tidsgräns

I följande exempel visas ett problem som hittas på ett hopp.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Feltyper

Anslut ionsfelsökning returnerar feltyper om anslutningen. Följande tabell innehåller en lista över möjliga returnerade feltyper.

Typ Beskrivning
Processor Hög processoranvändning.
Minne Hög minnesanvändning.
Gästbrandvägg Trafiken blockeras på grund av en brandväggskonfiguration för virtuella datorer.

En TCP-ping är ett unikt användningsfall där brandväggen, om det inte finns någon tillåten regel, svarar på klientens TCP-pingbegäran trots att TCP-pingen inte når mål-IP-adressen/FQDN. Den här händelsen loggas inte. Om det finns en nätverksregel som tillåter åtkomst till mål-IP-adressen/FQDN når ping-begäran målservern och svaret vidarebefordras tillbaka till klienten. Den här händelsen loggas i nätverksregelloggen.
DNSResolution DNS-matchningen misslyckades för måladressen.
NetworkSecurityRule Trafiken blockeras av en regel för nätverkssäkerhetsgrupp (säkerhetsregel returneras).
UserDefinedRoute Trafiken tas bort på grund av en användardefinierad väg eller en systemväg.

Gå vidare

Om du vill veta hur du använder felsökning av anslutningar för att testa och felsöka anslutningar fortsätter du till:

Felsöka anslutningar med hjälp av Azure-portalen